Cisco Cisco Firepower Management Center 4000 User Guide
50-14
FireSIGHT 系统用户指南
第 50 章 使用发现事件
使用发现和主机输入事件
了解发现事件表
许可证:FireSIGHT
系统生成变化详情在受监控网段中通信的发现事件。为新发现的网络功能生成
新的事件,并为先
前识别的网络资产的任何变化生成更改事件。
在初始网络发现阶段,系统为每台主机以及在每台主机发现的任何 TCP 或 UDP 服务器生成新的
事件。此外,系统为在每台已发现主机上运行的每个网络、传送或应用协议生成新的事件。对于
NetFlow 相关的流量,可在系统检测到主机上有应用协议运行时控制系统是否生成新的事件。初
次网络映射完成后,系统通过生成更改事件持续记录网络变化。无论先前发现的主机、服务器或
客户端配置何时发生改变,系统都会生成更改事件。
事件。此外,系统为在每台已发现主机上运行的每个网络、传送或应用协议生成新的事件。对于
NetFlow 相关的流量,可在系统检测到主机上有应用协议运行时控制系统是否生成新的事件。初
次网络映射完成后,系统通过生成更改事件持续记录网络变化。无论先前发现的主机、服务器或
客户端配置何时发生改变,系统都会生成更改事件。
以下对发现事件表中的字段进行了说明。
时间
系统生成事件的时间。
活动
事件类型。有关每个可用事件的说明,请参阅
和
IP地址
与事件所涉及主机关联的 IP 地址。
用户
事件生成前登录到事件所涉及的主机的最后一名用户。如果授权用户登录后只有未授权用户
登录,除非其他授权用户登录,否则此授权用户仍是主机的当前用户。
登录,除非其他授权用户登录,否则此授权用户仍是主机的当前用户。
MAC 地址
触发发现事件的网络流量所使用 NIC 的 MAC 地址。MAC 地址可以是事件所涉及的主机的实
际 MAC 地址或者是有流量通过的网络设备的 MAC 地址。
际 MAC 地址或者是有流量通过的网络设备的 MAC 地址。
MAC Vendor
触发发现事件的网络流量所使用 NIC 的 MAC 硬件供应商。
端口
如适用,是指触发此事件的流量所使用的端口。
说明
事件的文字说明。
设备
生成事件的设备的名称。对于基于 NetFlow 数据的新主机和新服务器事件, 此设备是处理
NetFlow 数据的设备。
NetFlow 数据的设备。